Проверка сервера на предмет взлома

Ну так а что там у тебя за mono запущено? Посмотри список процессов, думаю, не заметить такое сложно, а дальше уже изучай, что там у него в конфигах и зачем оно слушает порты. И, кстати, оно всё слушет локалхост, поэтому не похоже на взлом.

Там же чёрным по белому: mono слушает на localhost.

tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      1451/mysqld

Если нет жесткое необходимости отдавать mysql наружу, то пусть слушает localhost.
А порты 11111, 22222, 33333, etc. завязаны на java, так что смотри ps -ef | grep java.

такая деятельность mono это нормально ?

Без понятия, но слушание локального интерфейса на взлом не похоже.

Короче вобще суть такая: я держу несколько серверов minecraft на дедике

мне хостинг (hetzner) вкатал претензию мол с моего сервера осуществляется атаки на IP (и список ипишек)

я начал проверять сервер на взлом, логи руткиты итд - все чистенько, потом обнаружил, что все IP которые экобы атаковали - это ip моих игроков

вобщем что мне делать с хостером =)

Hetzner на самом деле очень капризный и привередливый хостинг. Мне он не сильно импонирует. Не потому конечно, что запрещает незаконную деятельность(это нормально), а потому что дюже перестраховывается. Это иногда напрягает.